If you're seeing this message, it means we're having trouble loading external resources on our website.

Se você está atrás de um filtro da Web, certifique-se que os domínios *.kastatic.org e *.kasandbox.org estão desbloqueados.

Conteúdo principal

Curso: Segurança na Internet > Unidade 1

Lição 7: Mais informações sobre segurança de dispositivos
Faculdade, carreiras e mais
Segurança na Internet
Segurança de dados on-line
Mais informações sobre segurança de dispositivos
© 2024 Khan AcademyTermos de usoPolítica de privacidadeAviso de cookies

Autenticação multifator

Google Sala de Aula
Usar uma senha é a forma mais comum de autenticação, mas ela não é a única (nem a mais segura). Um criminoso só precisa descobrir uma única informação (por exemplo, uma senha) para fazer a autenticação.
Uma forma mais segura de proteger o acesso indesejado a dados privados é a autenticação multifator, a qual requer diversas informações para realizar a autenticação.

Fatores de autenticação

A autenticação exige que você apresente evidências que provem sua identidade. Essas evidências vêm de três formas comuns:
  1. Evidência com base em conhecimento (ou seja, algo que você sabe). Você geralmente prova sua identidade para um site apresentando evidências na forma de uma senha. Sua senha representa algo que você sabe. Outros exemplos são PINs ou frases.
Ilustração de um balão de pensamento com a senha "Be3tP@ssw0rd3ver"
  1. Evidência com base em posse (ou seja, algo que você tem). Os caixas eletrônicos verificam as identidades dos usuários pedindo que eles forneçam seus cartões bancários como prova. Seu cartão bancário representa algo que você tem. Outros exemplos são telefones, chaves ou dispositivos com token de segurança.
Ilustração de uma mão segurando um cartão de caixa eletrônico
  1. Evidência com base em inerência (ou seja, algo que você é). Celulares mais novos podem fazer a autenticação do usuário escaneando sua impressão digital. Sua impressão digital representa algo que você é. Outros exemplos são reconhecimento facial e de voz.
Ilustração de uma impressão digital e de uma mulher falando, com ondas sonoras saindo de sua boca
As diferentes formas de evidência também são conhecidas como fatores de autenticação. Existem outros fatores de autenticação (por exemplo, um lugar onde você está), mas os que foram descritos acima são os mais comumente usados.
Criminosos podem roubar esses fatores de autenticação para obter acesso não autorizado a uma conta. Dependendo da localização do criminoso, determinadas formas de evidência são mais fáceis de roubar do que outras. Por exemplo, um criminoso que realiza um ataque remoto pode achar mais fácil roubar senhas do que cartões bancários, enquanto um criminoso local pode achar o contrário.
Ilustração de dois criminosos: o criminoso à esquerda está monitorando uma senha que está sendo enviada na forma de texto pela internet, o criminoso à direita está roubando um cartão de banco

Autenticação multifator

Para se defenderem tanto de criminosos locais quanto remotos, os sistemas de autenticação usam uma técnica de controle de acesso comum conhecida como autenticação multifator (MFA, do inglês "multi-factor authentication").
A MFA exige que um usuário apresente evidências de diversos fatores distintos (por exemplo, algo que você sabe e algo que você tem) para obter acesso ao sistema.

Autenticação de dois fatores

A forma mais popular de MFA usa dois fatores para a autenticação. A autenticação de dois fatores (2FA) exige duas provas de identidade e essas duas provas devem ser de dois fatores diferentes.
Um sistema de autenticação que exige uma senha e um PIN usa somente um fator, ainda que solicite duas evidências. Senhas e PINs se enquadram no fator de conhecimento, portanto esse sistema de autenticação não atende os requisitos de uma autenticação multifator.
Então, se esse sistema não usa uma autenticação de dois fatores, como seria um verdadeiro sistema 2FA? Um esquema comum primeiramente pede que você insira uma senha (algo que você sabe) e então pede que você digite um código gerado no seu telefone (algo que você tem).
Vamos ver como se dá a autenticação de dois fatores para entrar no Github, um site que serve como repositório de códigos e controle de versões.
Primeiro, o Github pede para inserir um nome de usuário e uma senha:
Captura de tela da tela de login do Github com dois campos de formulário (um para o nome de usuário e outro para a senha) e um botão em que está escrito "Sign in" (entrar).
O Github pede para o usuário digitar um código de autenticação gerado por um aplicativo no seu dispositivo:
Captura de tela do sistema 2FA do Github com um campo identificado como "Código de autenticação" e um botão identificado como "Verificar". O texto na parte inferior da janela diz "Abra o aplicativo de autenticação de dois fatores no seu dispositivo para visualizar seu código de autenticação e confirmar sua identidade".
O usuário abre um aplicativo de autenticação no telefone e visualiza o código gerado para a conta do Github:
Foto de uma mão segurando um telefone com um aplicativo aberto. O aplicativo está identificado como "Authenticator" (autenticador) e mostra o código "188 071" identificado como "Github".
Se você observar atentamente, verá um timer em contagem regressiva que marca o momento em que o código expira. Assim que a contagem regressiva terminar, um novo código será gerado e o timer será reiniciado. Diversos sistemas 2FA adicionam um tempo de expiração para a evidência com o intuito de impedir que criminosos a utilizem indefinidamente.
Como o código gerado vai expirar em alguns minutos, é preciso inseri-lo rapidamente no site do Github no notebook:
Captura de tela do sistema 2FA do Github com um campo identificado como "código de autenticação" e um botão identificado como "Verificar". Os campos estão preenchidos, mas o conteúdo está oculto por pontinhos.
Depois disso, a conexão ao Github estará concluída!
A etapa extra que usa o telefone para gerar um código mais do que dobrou o tempo e a complexidade de conexão ao Github, mas ela também tornou muito mais difícil para um criminoso invadir a conta do site.
Em maio de 2019, diversos usuários do Github descobriram que seus repositórios de códigos haviam sido raptados e substituídos por uma nota de resgate. Os usuários não estavam usando o sistema 2FA e acidentalmente expuseram suas senhas, o que facilitou o ataque dos criminosos que assumiram o controle de suas contas. É por isso que o Github recomenda fortemente o uso do sistema 2FA. 1
Como cada fator adicional de autenticação adiciona outra camada de segurança contra ataques criminosos, por que não usar 3FA ou até mesmo 4FA? Pode ser inconveniente para os usuários apresentar três ou mais formas de evidência para autenticação, especialmente porque os sistemas com frequência exigem uma nova autenticação após um determinado período de tempo. Esse é um exemplo de impasse comum na cibersegurança: praticidade versus segurança. Conforme a segurança de um sistema aumenta, sua praticidade tende a diminuir.

Recomendações

Para proteger nossas contas, é melhor usarmos autenticação multifator junto com uma senha forte. De acordo com um estudo realizado pelo Google, a MFA previne mais ataques do que a autenticação de fator único, evitando 100% dos ataques realizados por bots automatizados e reduzindo significativamente outros ataques. 2
Não é possível usar MFA se o site não tiver suporte para isso, mas como cada vez mais sites atualizam seus sistemas para suportar o uso deste tipo de autenticação, podemos verificar, vez ou outra, se sites que antes não a ofereciam passaram a oferecê-la. Se você usa um gerenciador de senhas, ele pode até avisá-lo quando uma de suas contas for elegível para ser protegida pelo uso de MFA.
Também precisamos tomar cuidado para garantir que a evidência de um fator não contenha evidências de outro fator. Por exemplo, se você armazenar senhas no aplicativo de notas do seu telefone e alguém roubá-lo e desbloqueá-lo, a pessoa terá acesso à evidência com base em posse e à evidência com base em conhecimento. 😬
🤔 Quando um sistema usa diversos fatores de autenticação, ele armazena mais informações sobre você. Isso seria um problema de privacidade?
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Você ficou com alguma dúvida sobre esse tópico? Adoraríamos responder! Basta nos perguntar na área de dúvidas abaixo!

Quer participar da conversa?

Entrar
Nenhuma postagem por enquanto.
Você entende inglês? Clique aqui para ver mais debates na versão em inglês do site da Khan Academy.